[linux] Snort hlasi spustu alertov
Juraj Bednar
juraj na bednar.sk
Pátek Červen 14 11:59:04 CEST 2002
Ahoj,
> pred par dnami som spustil snort a o par hodin som mal v /var/log/snort radovo desiatky IP adries (teda adresarov) s udajnymi atakmi. Pri blizsom pohlade su to obycajne pripojenia mailovych serverov, napriklad aj lists.linux.sk (147.175.66.133), s obycajnymi mailami.
>
> V /etc/snort/smtp.rules je to hned prve pravidlo, podla references je to akysi pokus o ziskanie roota na LotusNotes mail serveri. Kedze tento soft mi tam nebezi, uvazujem o zakomentovani toho pravidla.
>
> Chcem sa spytat skusenejsich, ci je zakomentovanie takychto pravidiel to spravne riesenie tohto problemu.
Ak ti to vyvolava zbytocny false positive a nemas ten soft, ktory
to ma akoze exploitovat, tak jednoznacne. Kazdopadne si zapis, co si
spravil, pretoze pravidla je vhodne pravidelne upgradovat.
V tvojej konfiguracii vidim vsak uplne iny problem a tym je sposob
logovania. Nikdy nepouzivaj toto logovanie podla IP adries, je velmi
pomale a dokazem ti vytvorit tisice adresarov s fajlami vo filesysteme,
prides o inody.
Ak ti mozem odporucit, pouzi logovanie do nejakej databazy a ACID
(analysis console for intrusion detection) pripadne logovanie cez
syslog, ked sa velmi branis databaze. Ale myslim, ze snort bez ACIDa
velmi nema vyznam.
J.
Další informace o konferenci linux